• IT-Karriere:
  • Services:

Sicherheitslücke: Login ohne Passwort mit LibSSH

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Artikel veröffentlicht am , Hanno Böck
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben.
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben. (Bild: Screenshot Webseite / Hanno Böck)

Eigentlich wäre es eine katastrophale Sicherheitslücke: Die Bibliothek LibSSH erlaubt es, beim Login den Authentifizierungsprozess zu überspringen. Clients können einfach durch das Senden einer falschen Protokollnachricht behaupten, dass der Nutzer bereits authentifiziert sei - und sich somit einloggen, ohne ein Passwort vorzuweisen.

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. Sagemcom Dr. Neuhaus GmbH, Rostock

Die Entwickler von LibSSH haben die Versionen 0.7.6 und 0.8.4 veröffentlicht, in denen das Problem behoben ist. Die Lücke hat die Id CVE-2018-10933 erhalten.

Wer LibSSH auf Server-Seite nutzt, sollte daher unbedingt sofort updaten - und muss möglicherweise damit rechnen, dass der Server bereits von Angreifern übernommen ist. Allerdings dürfte das nur wenige Personen tatsächlich betreffen, denn die Server-Funktion von LibSSH wird nicht sehr häufig genutzt.

Nur wenige Server mit LibSSH

Die Bibliothek LibSSH implementiert das SSH-Protokoll und wird auch von einer Reihe von Anwendungen genutzt, beispielsweise von KDE. Doch in den allermeisten Fällen nutzen Applikationen LibSSH nur, um clientseitig Verbindungen aufzubauen. Die sind jedoch von der Lücke nicht betroffen.

Der einzige prominente Nutzer von LibSSH dürfte Github sein, die laut LibSSH-Webseite diese Bibliothek serverseitig nutzen. Allerdings erklärte Github in einem Tweet, dass man von der Lücke nicht betroffen gewesen sei. Der Grund: Man nutze LibSSH nur mit Public-Key-Authentifizierung und die sei ebenfalls nicht betroffen. Zur Sicherheit habe man bei Github das Update aber trotzdem eingespielt.

Einige Twitter-Nutzer berichten, dass sie mit Shodan einige Tausend verwundbare Geräte im gesamten Internet finden. Für die Betroffenen ist das natürlich relevant, aber zu Massenhacks wird es wohl nicht kommen.

Wer SSH auf Servern einsetzt, nutzt meist OpenSSH, im Embedded-Bereich und bei IoT-Geräten kommt häufig die Software Dropbear zum Einsatz. Beide Projekte sind von LibSSH völlig unabhängig und damit nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 68,90€ (Vergleichspreis 82,71€)
  2. ab 195€ (sofort verfügbar) Bestpreis bei Geizhals
  3. (u. a. be quiet! Dark Base Pro 900 Rev. 2 für 199,90€ + 6,79€ Versand und Edifier Studio...

Folgen Sie uns
       


Microsoft Flight Simulator - Test

Hardwarehungriger Höhenflug: Der neue FluSi sieht fantastisch aus und spielt sich auch so.

Microsoft Flight Simulator - Test Video aufrufen
    •  /